Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

Keurmerk pentest vernieuwd

21 februari 2024 - 12:04ActueelSecurity & AwarenessCCV
Alfred Monterie
Alfred Monterie

Het Centrum voor Criminaliteitspreventie en Veiligheid (CCV) heeft versie 2.0 van het certificatieschema voor pentesten gepubliceerd met daarin belangrijke wijzigingen en verduidelijkingen. Met de nieuwe versie wordt de kwaliteit en consistentie van de penetratietesten verder vergroot. Het schema gaat 1 april in.

De belangrijkste aanpassingen betreffen duidelijkere eisen voor het opstellen van een testplan, het uitvoeren van het testproces, inclusief de verantwoordelijkheden van de pentester en het testrapport.

Bij een pentest kruipen onderzoekers in de huid van een kwaadwillende hacker. Het is mogelijk om medewerkers die (nog) niet aantoonbaar gekwalificeerd zijn, in te zetten. Hiervoor moeten zij wel onder toezicht staan van een gekwalificeerde pentester. De eis over de verhouding gekwalificeerd/nog niet gekwalificeerd personeel is aangescherpt.

Daarnaast is de eis van minimale werkervaring verduidelijkt. Tenslotte is in de nieuwe versie expliciet gemaakt dat alle externe tooling om de pentesten uit te voeren (software, scripts, etc.) legaal moet zijn verkregen. Deze maatregel is bedoeld om de juridische integriteit van het pentestproces te waarborgen en ervoor te zorgen dat de pentesten niet alleen ethisch en professioneel zijn, maar ook in overeenstemming met alle relevante wetgeving.

Roep

De roep om betrouwbare pentesten neemt toe. Eerder bleek ook al uit publicaties, waaronder die van Computable, dat de kwaliteit van pentesters soms te wensen overlaat. Bij de geruchtmakende hack van de gemeente Hof van Twente die ruim vier jaar geleden de ict-systemen lamlegde, speelde een verkeerd uitgevoerde pentest een rol. De gemeente waande zich in de maanden voor de ransomware-aanval veilig, zo kwam uit de rapportages destijds naar voren. Uit een pentest van Sogeti bleek niet dat er problemen speelden met de ftp-server. Evenmin werden ernstige risico’s gemeld. Volgens het rapport ‘Te Goed van Vertrouwen’ dat Brenno de Winter in opdracht van de gemeente maakte, had een zwakheid in de computer waarop was ingebroken, door de pentesters logischerwijs gevonden moeten worden. Forensisch onderzoek van NFIR legde tal van zwakten bij deze penetratietest bloot. Het was Sogeti niet opgevallen dat deze ftp-server wagenwijd open stond en dat daarop een kwetsbare versie van het remote desktop protocol draaide. Bovendien was niet geadviseerd om het netwerk te segmenteren. Daardoor konden de hackers gemakkelijk van het ene gemeentelijke systeem naar het andere springen. Ook methodologisch rammelde er veel aan, aldus NFIR. 

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Beveiliging begint bij de Server

    Waarom lifecycle-denken cruciaal is voor IT-security

    Computable.nl

    Staat van Digitale Connectiviteit binnen de Bouw- en Installatiebranche 2025

    Digitale connectiviteit is de kern van veel processen in de bouw en volgens insiders van strategisch belang voor de toekomst van de sector. Waar sta jij?

    Computable.nl

    GenAI: Veiligheidsrisico of wapen tegen dreiging?

    Wat AI betekent voor jouw securityaanpak? Alles over de risico’s en strategieën om GenAI verantwoord in te zetten.

    Meer lezen

    Filter
    OpinieCloud & Infrastructuur

    Ddos-aanvallen (en waarom L3-filtering niet optioneel is)

    ActueelInnovatie & Transformatie

    Kort: Innovatiezone in Almere, grote Defensiedeal Pro Warehouse (en meer)

    AchtergrondSecurity & Awareness

    Dit gaat NIS2 jouw bedrijf aan tijd en geld kosten

    compliance
    OpinieGovernance & Privacy

    Waarom Dora- en NIS2-compliance beginnen met assetmanagement

    OpinieSecurity & Awareness

    5 stappen ter voorbereiding op de verkorte levensduur van TLS-certificaten

    ActueelCarrière

    Kort: Brunel viert 50ste verjaardag, Wortell wint gunning veiligheidsregio (en meer)

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    AdvertorialInnovatie & Transformatie

    Ontdek de toekomst van IT-support en m...

    Op 16 september 2025 vindt in de Jaarbeurs in Utrecht een gloednieuw event plaats dat volledig is gericht op IT-professionals:...

    Meer persberichten

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine
    • Topics

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs